网络常用命令（for 网络工程师）

粪坑里游泳的年轻人

已于 2024-11-18 11:55:51 修改

阅读量1k

点赞数 5

文章标签：网络

于 2024-11-08 17:57:33 首次发布

本文链接：https://blog.csdn.net/weixin_42412421/article/details/143571065

版权

一、路由器

1.基本配置

<HUAWEI> system-view 
[HUAWEI] sysname Router                     //修改设备名称为Router
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] ip address 172.16.1.2 24  //配置与主设备互连的接口地址
[Router-GigabitEthernet0/0/1] quit
[Router] interface GigabitEthernet 0/0/2
[Router-GigabitEthernet0/0/2] ip address 172.16.2.2 24  //配置与备设备互连的接口地址
[Router-GigabitEthernet0/0/2] quit

undo shutdown   #启动接口

display ip route-table   #显示路由信息

2. 配置静态路由

[CORE1] ip route-static 0.0.0.0 0.0.0.0 172.16.1.2   //CORE1指向出口路由器的缺省静态路由
[CORE1] ip route-static 0.0.0.0 0.0.0.0 172.16.3.2 preference 70   //CORE1指向CORE2的备份静态路由

//preference配置路由优先级，越小越优，默认60

什么场景需要配置路由优先级：

①有多条路由，选择最佳路由

②设置不同优先级，实现路由备份。当优先级较高的主路由不可用时，设备会自动选择优先级较低的备份路由。

3.IPv6静态路由的配置

二、Vlan

[HUAWEI] sysname Switch1             //修改设备名称为ACC1
[Switch1] vlan batch 10 20           //批量创建VLAN

三、交换机

1.access接口

[ACC1] interface GigabitEthernet 0/0/1          
[ACC1-GigabitEthernet0/0/1] port link-type access
[ACC1-GigabitEthernet0/0/1] port default vlan 10

2.trunk接口

[HUAWEI] interface GigabitEthernet 0/0/8       //假设连接网管的接口为GigabitEthernet 0/0/8 
[HUAWEI-GigabitEthernet0/0/8] port link-type trunk
[HUAWEI-GigabitEthernet0/0/8] port trunk allow-pass vlan 5

四、Vlanif

[HUAWEI] interface vlanif 5       //创建交换机管理VLAN的VLANIF接口
[HUAWEI-vlanif5] ip address 10.10.1.1 24   //配置VLANIF接口IP地址
[HUAWEI-vlanif5] quit

五、ACL

匹配原则：一旦命中即停止匹配

0.0.0.255通配符，0表示精准匹配，1表示随机

rule 2000 permit source ip地址 0.0.0.255（通配掩码）

通配掩码中1表示忽略匹配，0表示精确匹配


access-list 2000 permit ip 192.168.1.0 0.0.0.255 any    #允许来自 192.168.1.0/24 子网的所有IP流量
access-list 2000 deny ip any any  #拒绝所有其他流量

interface GigabitEthernet0/1
ip address 192.168.1.1 255.255.255.0
traffic-filter outbound acl 2000     #将ACL 2000 应用于 GigabitEthernet0/1 接口的出站流量
traffic-filter inbound acl 2000

还有高级ACL，指定了目标端口的、协议等信息的

六、VRRP协议

虚IP是两边都要配的，谁是主谁配priority

2. 配置主备：

配置VRRP组的认证方式，VRRP支持简单密码认证和Md5认证

vrrp <group-id>
  authentication-mode simple <password>
  authentication-mode md5 <password>

七、NAT

静态NAT配置

动态NAT配置

简单的写法就直接配置nat outbound

还需配置dns

NAT server

八、DHCP

配置DHCP服务器

这张图看下hybrid的配置，横线部分

1.基于全局地址池分配IP

<CORE1> system-view
[CORE1] dhcp enable
[CORE1] ip pool 10
[CORE1-ip-pool-10] gateway-list 192.168.10.3         //配置网关地址
[CORE1-ip-pool-10] network 192.168.10.0 mask 24      //配置可分配的IP地址范围
[CORE1-ip-pool-10] excluded-ip-address 192.168.10.128 192.168.10.254  //配置排除地址段后一半地址
[CORE1-ip-pool-10] lease day 0 hour 20 minute 0      //配置租期
[CORE1-ip-pool-10] dns-list 8.8.8.8         //配置DNS服务器地址
[CORE1-ip-pool-10] quit

[CORE1] interface vlanif 10
[CORE1-Vlanif10] dhcp select global      //配置部门A的用户从全局地址池获取IP地址

配置完动态分配地址之后，刚开电脑获取地址的时间比较长，这是因为对于开启了生成树协议的交换机，每当有电脑接入之后导致生成树重新计算收敛，所以需要的时间比较长；通过关闭接口的生成树协议或者把连接终端的交换机接口配置为边缘端口即可解决。

2.基于接口地址池的方式配置

DHCP select interface
DHCP server excluded-ip-address 192.168.2.254
DHCP serer static-bind ip address 192.168.2.2 mac-address 00e0-fc00-00aa  #给某台机器分配固定的ip地址

配置DHCP Snooping

在接入交换机ACC1上开启DHCP Snooping功能。

<ACC1> system-view
[ACC1] dhcp enable  //使能DHCP功能
[ACC1] dhcp snooping enable //使能DHCP Snooping功能

在连接终端的接口上使能DHCP Snooping功能。

[ACC1] interface GigabitEthernet 0/0/1                //配置连接部门A的接口
[ACC1-GigabitEthernet0/0/1] dhcp snooping enable 
[ACC1-GigabitEthernet0/0/1] quit
[ACC1] interface GigabitEthernet 0/0/2                //配置连接部门B的接口
[ACC1-GigabitEthernet0/0/2] dhcp snooping enable 
[ACC1-GigabitEthernet0/0/2] quit

在连接DHCP服务器的接口上使能DHCP Snooping功能，并将此接口配置为信任接口。

[ACC1] interface GigabitEthernet 0/0/3             //配置连接CORE1的接口
[ACC1-GigabitEthernet0/0/3] dhcp snooping enable    //使能DHCP Snooping功能
[ACC1-GigabitEthernet0/0/3] dhcp snooping trusted   //配置为信任接口
[ACC1-GigabitEthernet0/0/3] quit
[ACC1] interface GigabitEthernet 0/0/4            //配置连接CORE2的接口
[ACC1-GigabitEthernet0/0/4] dhcp snooping enable
[ACC1-GigabitEthernet0/0/4] dhcp snooping trusted
[ACC1-GigabitEthernet0/0/4] quit

为了防止部门内用户私自更改IP地址后攻击网络，在接入交换机开启DHCP Snooping功能后，还需要开启IP报文检查功能，具体配置以ACC1为例。

在接入交换机ACC1上开启VLAN10的IP报文检查功能。
```
[ACC1] vlan 10
[ACC1-vlan10] ip source check user-bind enable //使能IP报文检查功能
[ACC1-vlan10] quit
```
这样ACC1从VLAN10收到报文后会将报文与动态绑定表的表项进行匹配，放行匹配的报文，丢弃不匹配的报文。如果不想对整个VLAN收到的报文进行检查，可以只在连接某个终端的接口上开启IP报文检查功能。

路由协议

策略（protocal）

Direct OSPF\RIP\

十、RIP协议

默认路由

default-route originate    #将默认路由（0.0.0.0/0）通过该路由协议广播到其他路由器

手工汇总路由：

rip summary-address 10.0.129.0 255.255.128.0

RIP宣告网段（不带掩码）

rip1：只能宣告A类，B类，C类地址，A、B、C类子网位依次是8位，16位，24位，所以按类宣告的意思就是假设子网为a.b.c.d/x；A类宣告a.0.0.0；B类宣告a.b.0.0;C类宣告a.b.c.0

rip2：可以精准宣告,假设子网是a.b.c.d/16，那就是a.b.0.0；如果是a.b.c.d/24，那就是a.b.c.0

认证

#1.smple：明文认证
   rip  authentication-mode simple (cipher) huawei12

#2.MD5认证
   rip  authentication-mode md5 nonstandard cipher md5-key   #加密
   rip  authentication-mode md5 nonstandard plain "mysecretpassword"   #rip配置的实际密钥，是明文的

十一、OSPF

宣告网段

ospf router-id 1.1.1.1    #定义路由器的router id
area 0 
network 12.1.1.0 0.0.0.3 //宣告网段 12.1.1.0/30
network 100.1.1.0 0.0.0.255 //宣告网段 100.1.1.0/24

度量值配置

interface g0/1/1
ospf cost 20
bandwidth-reference 10000  #设置带宽参考值

两种认证方式：

#1. 区域认证
interface g0/0/1
ospf authentication-mode md5 1 huawei

#2. 接口认证
ospf router-id 1.1.1.1
area 0
network 192.168.1.0 0.0.0.255
authentication-mode md5 1 huawei

OSPF引入外部路由

ospf router-id 1.1.1.1
import-route direct/bgp/rip type 2   #type 2表示引进来之后的度量值

SIlent-interface g0/0/1表示不接收和发送ospf报文，直连路由仍可以发送出去

配置 eBGP 和 iBGP 对等体，建立 BGP 邻居

bgp 100       //启动 BGP，指定本地 AS 号为 100 
route-id 10.0.1.1
peer 10.0.3.3 as-number 200 //配置 R3 和 R4 建立 eBGP 连接（或指定对等体的 IP 地址及其
所属的 AS 编号） 
peer 10.0.3.3 connect-interface LoopBack1     #使用LoopBack1地址作为更新源地址简历ibgp对等体关系
peer 10.0.1.1 next-hop-local    #将 BGP 更新中的 "next-hop" 地址设置为本地路由器的 IP 地址

启用BGP环路检测功能

route loop-dectect bgp enable